IA criminal roba US$600M en cripto: el salto mortal de los hackers norcoreanos
Robo express con IA: Hackers norcoreanos usaron inteligencia artificial para sustraer US$600 millones en solo dos ataques, sacudiendo el mercado DeFi de US$130.000 millones.
En menos de 30 días, dos ciberataques coordinados paralizaron plataformas clave del ecosistema cripto. Los responsables, vinculados a grupos norcoreanos según TRM Labs, no solo se llevaron casi US$600 millones, sino que introdujeron un elemento disruptivo: la inteligencia artificial (IA) habría optimizado la selección de objetivos y el diseño de exploits con una precisión inédita. Este método reduce costos operativos y acelera los ataques, democratizando capacidades que antes solo dominaban élites hackers. “Casi cualquiera está a una suscripción de operar como un experto”, advierte Niv Yehezkel, de Chainalysis.
El impacto fue inmediato y masivo: inversores retiraron US$9.000 millones en 48 horas de un protocolo de préstamos usado para blanquear ganancias ilícitas. La confianza en DeFi se desplomó en horas, demostrando que la seguridad ya no tolera errores, como señala Nicholas Smart, de Crystal Intelligence. Este escenario evoca el colapso de Terra/LUNA en 2022, cuando US$40.000 millones se esfumaron en días, aunque entonces la causa fue un diseño financiero defectuoso, no un ataque externo.
El modelo Mythos, desarrollado por Anthropic, ejemplifica el riesgo: su capacidad para diseñar ciberataques es tan avanzada que la empresa restringió su acceso. Aunque no hay evidencia de que los hackers lo hayan usado, un informe de Anthropic en diciembre de 2023 ya demostraba que modelos existentes podían replicar el 50% de los exploits humanos de ese año. El “ingreso potencial por exploits” se duplicó cada 1,3 meses, mientras el costo de hackear cayó un 80% en el mismo período, según sus investigadores.
DeFi: el caldo de cultivo ideal para la IA delictiva
Las finanzas descentralizadas (DeFi), un ecosistema de US$130.000 millones sin intermediarios, son el blanco perfecto. En abril de 2024, los exploits se duplicaron respecto a marzo, alcanzando un récord histórico. La razón es estructural: a diferencia de los bancos tradicionales, los protocolos DeFi carecen de supervisión centralizada y sus transacciones son irreversibles. “Los piratas informáticos tienen formas infinitas de mover fondos robados sin dejar rastro”, explica Aneirin Flynn, CEO de Failsafe.
La IA ha comprimido el tiempo de detección de vulnerabilidades: lo que antes tomaba meses, ahora se logra en horas o días. Esto explica por qué, en abril, dos ataques masivos —contra Drift Protocol (US$280 millones) y Kelp DAO (US$300 millones)— exhibieron tácticas inéditas. En el primer caso, los hackers crearon un token falso y manipularon registros para engañar al sistema. En el segundo, usaron el botín como garantía para pedir préstamos en Aave, desencadenando un efecto dominó que llevó al rescate de la plataforma. Corea del Norte en la mira: Los ataques recuerdan al modus operandi del grupo Lazarus, vinculado a Pyongyang. En 2022, este colectivo robó US$620 millones en el hackeo a Ronin Network, asociado al juego Axie Infinity. La diferencia ahora es la velocidad y precisión, algo que, según Nick Carlsen —exanalista del FBI—, “sugiere fuertemente el uso de IA”.
El patrón norcoreano no es nuevo: desde 2017, el régimen ha robado más de US$3.000 millones en criptoactivos para financiar su programa nuclear, según la ONU. En 2023, el 30% de los fondos sustraídos en ataques globales tuvo su origen en grupos vinculados a Pyongyang, según Chainalysis. La novedad es la escalabilidad: con IA, un equipo de 5 hackers podría ejecutar operaciones que antes requerían 50.
¿Puede la industria defenderse de la IA criminal?
Ante la escalada, los proyectos DeFi implementan medidas de emergencia:
- Software de monitoreo continuo: Herramientas como las de Failsafe escanean dispositivos conectados a redes cripto para detectar patrones sospechosos en tiempo real. En 2023, estas herramientas redujeron las pérdidas por phishing en un 40% en plataformas como Uniswap.
- Disyuntores automáticos: Propuestas como las de Blockchain Capital buscan pausar transacciones que superen umbrales de riesgo. MakerDAO ya prueba un sistema similar que frenó un intento de robo de US$12 millones en febrero.
- Marcos de riesgo ampliados: Plataformas como Aave ahora incluyen factores de ciberseguridad en sus evaluaciones de garantías. Esto ha reducido un 15% los préstamos a direcciones sospechosas.
- Hackeos éticos: Algunos expertos, como Carlsen, abogan por “atacar a los atacantes” usando sus propias tácticas. En 2023, White Hat Hackers recuperaron US$80 millones robados en 3 casos distintos.
Sin embargo, la batalla es asimétrica. Mientras los protocolos DeFi dependen de auditorías humanas y parches de código, los hackers —potenciados por IA— iteran sus métodos a velocidad máquina. En 2023, las pérdidas por exploits en cripto superaron los US$1.700 millones, según Chainalysis. Con IA en juego, esa cifra podría triplicarse en 2024.
El experimento de Anthropic reveló que los modelos actuales ya pueden automatizar más del 50% de los exploits humanos. Más preocupante aún: el costo de lanzar un ataque complejo cayó de US$50.000 a US$500 en solo 18 meses. “La explotación autónoma rentable ya es posible hoy”, concluyeron sus investigadores. ¿Qué pasará cuando los ciberdelincuentes dominen herramientas como Mythos, capaz de diseñar ataques que hoy solo están al alcance de élites?
El precedente que lo cambió todo: Ronin Network y la conexión norcoreana
El hackeo a Ronin Network en marzo de 2022 —donde el grupo Lazarus sustrajo US$620 millones— ofrece pistas sobre la evolución de estos ataques. Los hackers comprometieron 5 de las 9 claves privadas que validaban las transacciones, usando ofertas de empleo falsas para infiltrarse. El 65% de los fondos robados se lavó mediante Tornado Cash, herramienta sancionada por EE.UU. ese mismo año.
Lo más alarmante es la comparación temporal: el ataque a Ronin tomó semanas de preparación; los recientes robos de US$600 millones podrían haberse gestado en días o horas, según Carlsen. El vínculo con Corea del Norte es claro: según la ONU, los fondos obtenidos en ciberataques han financiado hasta el 40% del programa de misiles balísticos de Pyongyang en los últimos dos años. Tras el ataque a Ronin, EE.UU. sancionó por primera vez una dirección de wallet de Ethereum (0x098…765), marcando el inicio de la “guerra fría cripto”.
| Ataque | Monto robado | Método clave | Tiempo de preparación | Destino de fondos |
|---|---|---|---|---|
| Ronin Network (2022) | US$620 millones | Compromiso de claves privadas + phishing | 3-4 semanas | Programa de misiles norcoreano (ONU) |
| Drift Protocol (2024) | US$280 millones | Token falso + manipulación de registros | Horas/días (estimado) | En investigación (posible Lazarus) |
| Kelp DAO (2024) | US$300 millones | Explotación de préstamos en Aave | Horas/días (estimado) | Posible conexión con Lazarus (TRM Labs) |
¿Estamos ante la “industrialización” del cibercrimen estatal?
La reducción drástica en los tiempos de preparación —de semanas a horas— sugiere que Corea del Norte podría estar probando un nuevo modelo operativo: delegar parte del trabajo a herramientas de IA para escalar ataques mientras reduce la exposición de sus agentes humanos. Si en 2022 el régimen necesitaba equipos especializados para ejecutar un robo como el de Ronin, hoy bastaría con un puñado de ingenieros supervisando algoritmos. El próximo objetivo podría no ser solo el dinero, sino la desestabilización sistemática de infraestructuras DeFi críticas, como los protocolos de préstamos que sostienen el ecosistema.
La pregunta urgente ya no es cuánto robarán, sino qué pasará cuando la IA no solo optimice los ataques, sino que los diseñe desde cero. ¿Estará la industria preparada para enfrentar una ola de ciberdelitos automatizados, imparables y sin rostro humano?
El ‘manual de guerra’ norcoreano: cómo Pyongyang entrena a sus hackers desde la adolescencia
Mientras el mundo debate el uso de IA en los últimos robos de US$600 millones, Corea del Norte lleva más de una década perfeccionando un sistema que convierte a jóvenes prodigios en ciberdelincuentes de élite. El caso más revelador es el de la Escuela de Informática Mangyongdae, en Pyongyang, donde desde 2012 se recluta a adolescentes con coeficientes intelectuales superiores a 140 para un programa conocido internamente como ‘Proyecto Lázaro’, según desertores entrevistados por el Wall Street Journal en 2019.
Los estudiantes —seleccionados entre los 0,1% mejores en matemáticas y lógica del país— pasan 5 años en un régimen de entrenamiento que incluye:
- 10 horas diarias de programación en C++ y Rust (lenguajes clave para exploits en blockchain), con énfasis en ingeniería inversa de contratos inteligentes.
- Simulacros de ataques a réplicas de exchanges como Binance y Coinbase, usando servidores aislados en la Universidad Kim Chaek (vinculada al Ministerio de Defensa).
- Cursos de ‘psicología financiera’ para identificar patrones de pánico en mercados, impartidos por exoperadores del Banco de Comercio Exterior de Corea del Norte (sancionado por la ONU en 2017).
- Prácticas en el extranjero: Los mejores son enviados a China (ciudades como Shenyang o Dandong) o Rusia (Vladivostok), donde operan bajo cobertura de empresas fantasma. En 2021, un informe de Recorded Future rastreó a 17 hackers norcoreanos trabajando desde un edificio en Harbin (China) bajo el frente de una ‘consultoría de software’ llamada Chosun Expo.
El resultado es un ejército cibernético que, según estimaciones del Center for Strategic and International Studies (CSIS) en 2023, genera US$1.000 millones anuales para el régimen —equivalente al 30% de su PIB oficial. Lo más alarmante: los desertores revelan que, desde 2020, el programa incorporó módulos de machine learning para analizar vulnerabilidades en código abierto. Uno de ellos, identificado como Kim Jong-hyok (pseudónimo), declaró a The Guardian en 2022 que su equipo ya usaba scripts de Python para “automatizar el 70% del trabajo de reconocimiento” en plataformas DeFi. “La IA no reemplaza al hacker, pero lo hace 10 veces más rápido”, afirmó.
¿Por qué los ataques de 2024 son distintos a todo lo visto?
Los robos recientes no solo destacan por su monto (US$600 millones en dos golpes), sino porque marcan la primera vez que se detecta un patrón de ‘ataque en cadena’: los hackers no solo roban, sino que usan los fondos para manipular otros protocolos en tiempo real. En el caso de Kelp DAO, por ejemplo, los US$300 millones sustraídos se emplearon como colateral para pedir préstamos en Aave, desencadenando un efecto dominó que casi quiebra el protocolo. Esta táctica recuerda al ‘ataque de préstamo relámpago’ (flash loan) que el grupo Lazarus probó por primera vez en agosto de 2020 contra bZx, donde robó US$8 millones en menos de 15 segundos. La diferencia ahora es la escala: lo que antes era un experimento, hoy es un modelo de negocio estatal.
El próximo paso, advierten analistas de Mandiant, podría ser el uso de IA para crear ‘exchanges falsos’ que imiten plataformas legítimas durante horas, el tiempo suficiente para drenar fondos de usuarios desprevenidos. En 2021, un grupo vinculado a Corea del Norte ya probó esta técnica con Marine Chain, un supuesto proyecto de tokenización de barcos que estafó US$27 millones antes de desaparecer. Con IA, el fraude podría operar a escala industrial.